某SOHO型公司辦公網絡的升級

時間 2020-04-30

標籤 soho 公司辦公網絡升級欄目快樂工作简体版

原文原文鏈接

該案例爲小冰曾爲某SOHO用戶網絡升級做的一簡約型設計,僅供參考.另外,從用戶網絡安全角度考慮,本案例中凡涉及到其內部信息內容已經省略.

另外,小冰提供本案例的寫做時間較早,有些思路和設計方面存在問題,尤爲是在設備的設備選型方面,但願你們提出更好的建議和意見,以便你們共同窗習.

******************************************

1、公司簡介（略）

2、項目需求：（用戶不要求冗餘設備，強調節約成本,但同時強調安全）

在高速發展的網絡信息化時代，北京甲方科技有限公司致力於********等項目，利用自主創新的先進技術一度成爲國內真正具備系統設計、設備成套、施工、安裝、調試和管理綜合服務能力的高科技企業之一。

自甲方入住N區寫字樓，一直做爲我公司重要客戶，享受我公司爲其提供的優質、快捷、高效的信息化服務，並隨着甲方公司規模不斷的擴大和業務也不斷的增加，對公司網絡信息化建設也提出了更高的要求，以適應公司快速健康的發展。

主要需求有三大部分：

1、對甲方所在N區寫字樓辦公網絡進行優化升級和改造：

隨着數據業務量的增長，現有網絡拓撲及網絡設備已經不能知足公司發展的需求，也漸漸暴露出許多問題，主要有如下兩點：

（1）、核心網絡設備（Cisco3550-24-EMI）資源緊缺，接口不夠用，設備負載較重。

（2）、網絡流量增大，許多諸如廣播風暴、病毒***、P2P傳輸等異常流量急增，網絡資源佔用較大，致使網絡速度慢、不穩定現象發生。

（3）、對各類數據傳輸業務的需求增大，網絡設備和拓撲結構需及時改造。

2、對甲方所在S區大廈辦公網絡進行建設：

甲方所在S區大廈6層爲其部分部門新入住的辦公區域，還沒有鋪設網絡，現對辦公網絡的建設提出了以下要求

（1）、新建設網絡需知足至少200工做人員的辦公須要，採購相關設備和資源。

（2）、對機房建設有嚴格要求，如防靜電地板、防雷擊等，必須符合國際弱電工程標準。
3 、將甲方所在N區寫字樓辦公網絡與S區大廈辦公網絡進行互聯：

（1）、S區大廈辦公網絡接入Internet必須經過其所在N區寫字樓辦公網絡，即其所在S區大廈的辦公網絡做爲所在N區寫字樓辦公網絡的子網絡運行，並統一由N區寫字樓網絡進行控制和管理。

（2）、其N區寫字樓辦公網絡與S區大廈辦公網絡須要進行點對點互聯，要求實現高速網絡資源共享。

（3）、其所在N區寫字樓辦公網絡帶寬擴容至 10M ，以知足兩個網絡的需求。

3、網絡現狀

1、如拓撲所示（略）：

2、拓撲描述：

核心層以Cisco3550-24-EMI設備爲主，經過光纜和雙絞線分別與匯聚層設備Cisco2950G-24、Quidway3050互聯，再由匯聚層設備與接入層交換機Cisco2950-24/QuidwayS2026相連構成。

ISP接入層分別由兩條ISP線路接入，一條直接經過一臺Cisco2600系列路由器、Netscreen 50防火牆與核心交換網絡相連。另外一條則直接由Netscreen 50防火牆接入總經理終端設備。

另外，辦公網絡中有部分人員經過Wlan方式上網，在其中網絡中有無線路由器及無線AP設備。同時有各種內外部網絡服務器十幾臺直接接入核心交換機。

思科設備、華爲設備、Juniper Netscreen設備並存於該網絡中。

4、設計思路：

根據該項目需求以及網絡現狀，再結合現階段的各種網絡技術特色，綜合地理、時間、經濟、制度、技術標準等因素，對項目需求中所列的要求進行設計，具體設計思路分如下幾部分：

（1）第一階段：對甲方所在N區寫字樓辦公網絡進行優化升級和改造，該階段主要是解決網絡設備資源緊缺、網絡流量優化控制方面的問題。

設計思路：

a、增長網絡設備，更改網絡拓撲架構，以解決網絡資源不足問題。

b、經過改變網絡拓撲架構，利用VLAN、Qos、FEC/GEC等技術緩解網絡擁塞、減小廣播風暴、限制P2P異常流量等，以達到實現網絡流量優化控制的目的。

c、經過交換機SPAN技術、SNMP技術、RMON技術等，藉助第三方網絡監控管理分析軟件如Sniffer、Ciscoworks、HpOpenView、Solarwinds等以架設網絡監控管理服務器，並建議架設網絡防病毒服務器進行統一防毒及病毒庫升級等。

（2）、第二階段：對甲方所在S區大廈辦公網絡進行建設，該階段主要是設計新網絡拓撲、採購相關設備資源、鋪設新辦公網絡。

　設計思路：

a、根據圖紙所設計工做點位，設計新網絡拓撲。

b、肯定所需相關設備，採購新設備。
c 、組建新辦公網絡。

（3）、第三階段：將甲方所在N區寫字樓辦公網絡與S區大廈辦公網絡進行互聯，該階段主要是解決兩地互聯及資源共享問題，並對出口帶寬進行擴容。

　設計思路：

a、無線互聯方式：兩區域空間相距約 200 米，能夠採用Wlan方式互聯，也能夠採用微波方式互聯，但微波方式成本較高。

優勢：互聯方便，無需鋪設電纜或光纜，與有線互聯方式相比成本相對較低，一次性投入。

缺點：但個別設備成本較高，傳輸速度慢，沒法知足高速訪問共享資源，另外，無線互聯受外界環境影響較大，傳輸距離受到限制，相關無線設備架設難度較大。

b、有線互聯方式：能夠採用光纜方式、點對點透明鏈路（DDN、FR、HDSL等）等方式。
　　優勢：數據傳輸速度快，傳輸距離遠，不易受外界干撓，能夠租用現有ISP運營商線路，無需自行鋪設。
　　缺點：租用線路成本較高，工程施工較爲複雜。

c、帶寬擴容：出口帶寬擴容爲 10M 獨享線路，以緩解帶寬緊張問題。

綜述，以上設計思路只是針對項目的需求來進行設計的，除此以外，還要考慮到網絡後期擴展、網絡拓撲結構及設備的兼容性、網絡管理、網絡安全等具體實現問題，具體實現詳見「6、整體設計」章節。

5、設計原則：

網絡工程項目的設計實施通常都會遵循如下設計原則：
　　（１）、實用性原則：網絡設計方案中應把握「夠用」和「實用」原則，網絡系統應採用成熟可靠的技術和設備，作到實用、經濟和有效。
　　（２）、開放性原則：網絡系統採用開放的標準和技術，如TCP/IP協議、IEEE802系列標準等，以知足將來網絡系統的擴充和與其餘網絡的互相通訊等需求。
　　（３）、高可用性/可靠性原則：應確保很高的平均無端障時間和儘量低的平均故障率。
　　（４）、安全性原則：確保網絡能夠抵擋住常見及通常性的***，並輔之實時監控和分析等手段，對特殊的網絡***和***進行相應處理。
　　（５）、先進性原則：構建一個現代化的網絡系統，應儘量採用先進而成熟的技術，在一段時間內保證其主流地位。
　　（６）、易用性原則：整個系統易於安裝、管理和使用。網絡系統應該具備良好的可管理性和很高的資源利用率。此外，在知足現有網絡應用的同時，還應爲之後的應用升級奠基基礎。
　　（７）、可擴展性原則：網絡整體設計不只要考慮到近期目標，也要爲網絡的進一步發展留有擴展餘地，所以須要統一規劃和設計。

6、整體設計：

除了根據以上設計思路和設計原則，還要從項目總體角度去考慮，整合現有資源，節約及控制成本，按需引入相關資源原則進行設計。

（１）整體設計拓撲圖：

（２）、拓撲詳解：

核心層：仍然以原Cisco3550-24-EMI設備爲主，原十幾臺服務器再也不直接接入到核心交換機，以減輕核心設備負載，節約核心設備物理接口等資源。由該設備擔任Vlan Server，執行VTP的發佈、更新、通知等，開啓三層路由交換功能，劃分VLAN子接口及開啓Trunk通道，配置VLAN網關，封裝802.1q協議等，還能夠經過ACL實現對內部網絡的管理。

匯聚層：原匯聚層設備保持不變，但須要增長兩臺匯聚層設備Cisco3650-24TS-S的交換機，其中一臺直接做爲十幾臺服務器匯聚交換機，主要是由於考慮到服務器佔用資源較大，爲減輕核心設備負載，須要新增一高性能交換機進行處理。另外該交換機Cisco3650-24TS-S的交換機可與Cisco3550-24-EMI的三層交換機進行端口匯聚（FEC技術），減輕設備單端口單鏈路負載，起到端口鏈路的冗餘備份功能，增大數據傳輸通道，緩解服務器網絡擁塞情況；而其上行鏈路與邊界防火牆DMZ區互聯，起到保護服務器減小外部***做用。另一臺交換機Cisco3650-24TS-S則做爲甲方所在S區大廈6層辦公區網絡的匯聚交換機，並與N區寫字樓經過有線或者無線方式互聯，達到資源共享目的。全部匯聚層交換機（cisco 2950G -24/Quidway3050/Cisco3650-24TS-S）上行trunk口與核心交換機互聯，下行trunk口與接入層交換機互聯。

終端接入層：通常終端用戶經過接入層設備cisco2950-24、ciso2950-48、quidways2026等接入，甲方所在S區大廈辦公網絡須要新增接入層交換設備，如按目前200數據點位計算，須要增長至少10臺24×××換機，能夠採購cisco2960-24TT-L交換機。

ISP接入層：總經理終端所在網絡的ISP接入層無需變更。而核心層所互聯的ISP接入層主要是以cisco2600系列路由器做爲邊界路由器執行互聯傳輸做用，而邊界防火牆netscreen50防火牆則執行了路由、NAT、ACL、包過濾、***檢測等功能，但因爲cisco2600系列（具體型號未知）路由器處理能力及物理接口特性所限，一直都是該網絡中的一大瓶頸。此方案中將cisco2600系列（具體型號未知）路由器更換爲cisco2821路由，以提升處理性能。同時netscreen50防火牆僅能知足200客戶端需求，數據處理能力也受到限制，根據甲方發展有望近期超越600人的使用量，因此須要將netscreen-50替換爲netscreen-ssg550。另外將此處替換下的防火牆用於S區大廈辦公區網絡以透明橋方式接入，防止兩個網絡之間有病毒***，加強網絡安全性。

服務器架設：爲了更好的管理網絡，提升網絡維護效率，能夠考慮架設網絡管理監控服務器（SNMP&RMON）、網絡版防病毒服務器等輔助性服務器。另外根據內外部網絡需求，將服務器進行劃分，指定不一樣網關出口，提升訪問速度。

其餘設備：因爲原來UPS設備已經不能知足對現有設備的供電需求，甲方N區寫字樓機房急需增長一臺UPS電源，另外甲方S區大廈機房也須要一臺UPS電源。

7、方案分析：

該方案綜合考慮了現有網絡情況和將來網絡發展情況，同時也具有了許多獨有的特性，尤爲是在解決網絡的優化控制、設備性能以及網絡安全方面突出一些。固然有利必有弊，因爲時間過於緊迫，現場沒有仔細考察，該方案可能會存在大大小小的細節問題，須要完善。

8、設備選購：

（１）、所需設備列表

型　號	數　量（臺）	單價（元）	合計（元）	備註
WS-C2960-24TT-L	10
WS-C3560-24TS-S	2
CISCO2821	1
NetScreen-SSG550	1
網管、防毒服務器	2			建議
UPS 電源	2

（２）、設備性能參數：

A、 CISCO WS-C2960-24TT-L
Cisco Catalyst 2960系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和10/100/1000千兆以太網鏈接，可爲入門級企業、中型市場和分支機構網絡提供加強LAN服務。
Cisco Catalyst 2960-24TT ：24個10/100以太網端口和2個10/100/1000固定以太網上行鏈路端口；1機架單元(RU)
Cisco Catalyst 2960 提供：

網絡邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和加強安全特性
雙介質上行鏈路端口提供了千兆以太網上行鏈路靈活性，可使用銅纜或光纖上行鏈路端口—每一個介質上行鏈路端口都有一個10/100/1000以太網端口和一個小型可插拔(SFP)千兆以太網端口，在使用時其中一個端口激活，但不能同時使用這兩個端口
經過高級QoS、精確速率限制、ACL和組播服務，實現了網絡控制和帶寬優化
經過多種驗證方法、數據加密技術和基於用戶、端口和MAC地址的網絡准入控制，實現了網絡安全性
經過思科網絡助理，簡化了網絡配置、升級和故障診斷
使用Smartports自動配置特定應用

B、 CISCO WS-C3560-24TS-S

Cisco Catalyst 3560 系列交換機是一個固定配置企業級IEEE 802.3af 和思科預標準以太網供電PoE 交換機系列工做在快速以太網和千兆位以太網配置下Catalyst 3560 是一款理想的接入層交換機適用於小型企業佈線室或分支機構環境結合了10/100/1000 和PoE 配置實現最高生產率和投資保護並可部署新應用如IP 電話無線接入視頻監視建築物管理系統和遠程視頻訪問亭客戶可在整個網絡範圍中部署智能服務如高級QoS 速率限制訪問控制列表組播管理和高性能IP 路由等且同時保持傳統LAN 交換的簡潔性思科網絡助理(network assistant)在Catalyst 3560 系列中免費提供是一個集中管理應用可簡化思科交換機路由器和無線接入點的管理任務思科網絡助理提供了配置嚮導大大簡化了融合網絡和智能網絡服務的實施。

Cisco Catalyst 3560-24TS--24個以太網10/100端口，2個小型SFP千兆位以太網端口；1個機架單元（1RU）。

C、 CISCO2821
思科系統公司®推出了一個全新的集成多業務路由器系列，它進行了專門的優化，可安全、線速地同時提供數據、話音和視頻服務，從新定義了最佳大型企業和中小型企業路由。模塊化Cisco® 2800系列集成多業務路由器（參見圖1）創建在思科20年的領先地位及創新技術的基礎之上，智能地將數據、安全性和話音服務內嵌於單一永續系統，能快速、可擴展地提供關鍵任務業務應用。Cisco 2800系列的獨特集成系統架構提供了最高業務靈活性和投資保護。
Cisco2821 集成多業務路由器，帶交流電源， 2GE， 1 NME， 1 EVM， 4 HWIC， 2 AIM，和Cisco IOS IP Base 軟件。

D、 Juniper NetScreen-SSG550

併發鏈接數 :	128000
網絡吞吐量 :	1000MB
用戶數限制 :	無用戶數限制
安全標準 :	UL ， CUL ， CSA ， CB
管理 :	系統管理 , 本地管理員數據庫 , 外部的管理員數據庫 , 有限的管理網絡 , 根管理員、管理員和只讀用戶級別 , 軟件升級 , 配置回退
主要功能 :	地址轉換 , 防火牆 , 統一威脅管理 / 內容安全 ,VoIP 安全性 ,***, 防火牆和 ××× 用戶驗證 , 路由 , 封裝 , 流量管理（ QoS ） , 系統管理 , 日誌記錄和監視
設備類型 :	專用安全設備
×××:	支持
安全過濾帶寬 :	500MB
尺寸 :	546.144.5 8.9mm
以太網口數 :	4x 10/100/1000,6 個物理接口模塊（ PIM ）擴展插槽 ,4 個加強的 PIM 擴展插槽